Blackmail emails are storming internet users since last october, when the phenomenon started and acquired space in all information media.

The biggest power of this kind of attack is to fool the receiver leading him to believe that the message came from it’s own email box, that it’s been compromised.

In the first time emails body was composed in simple text.

Continua a leggere

Ces derniers jours de nouvelles tentatives de fraude ont été enregistrées aux dépens de la Caisse d’Allocations Familiales, communément désignée comme CAF.

La Caisse d’Allocations Familiales est une organisation qui soutient les familles en situation de précarité.

Dans ce cas les criminels ont réalisé une tentative de fraude au moyen d’une page clone insérée dans un site violé, la mairie de Pise.

Continua a leggere

société général phishing paqe

Ces derniers jours le D3Lab a découvert des pages de phishing visant à frapper un nouvel institut bancaire français, la Société Générale, la septième banque au classement par capitalisation des groupes bancaires de la zone Euro, où elle favorise le développement du commerce et de l’industrie française.

Continua a leggere

pagina fraudolenta Crédit Mutuel

3Le Crédit Mutuel est l’un des principaux groupes bancaires français, qui bénéficie de la participation de plusieurs autres instituts et groupes bancaires.

La présence de plusieurs instituts bancaires au sein d’un seul groupe, qui peuvent utiliser la même plateforme d’internet banking, permet aux phishers les plus expérimentés de réaliser des campagnes de phishing visant à attaquer au moyen de l’envoi d’un seul courriel les titulaires d’un compte dans les différents instituts qui font partie du groupe.

Le monitorage actuel a permis de relever au cours des premières heures de la nuit un cas de phishing qui, exploitant ce schéma, a des retombées sur les clients du:

  • Crédit Mutuel de Bretagne (CMB);
  • Crédit Mutuel Massif Central (CMMC);
  • Crédit Mutuel Sud Ouest (CMSO);
  • BPE;Arkéa Banque Privée (ABP);
  • Fortunéo;
  • BEMIX

La page frauduleuse sur laquelle aboutiront les «victimes» après avoir cliqué sur le lien Continua a leggere

seconda pag. phishing CNAMTS

En France la Sécurité Sociale est divisée en trois secteurs principaux:

  • Maladie, maternité, invalidité et décès, accidents du travail et maladies professionnelles;
  • vieillesse;
  • famille;

gérée par trois différentes institutions:

  • la Caisse nationale d’assurance maladie maternité des travailleurs salariés (la CNAMTS), s’occupe du premier;
  • la Caisse nationale d’assurance vieillesse (CNAV) du second;
  • la Caisse nationale des allocations familiales (CNAF) du troisième.

En effectuant le monitorage du phishing international, le D3Lab a relevé, à partir de 2013, un intérêt des criminels pour la Caisse Nationale des Allocations Familiales,

phishing CNAF url rilevati Continua a leggere

L’activité de monitorage au niveau international a permis au D3Lab de relever de nombreuses attaques de phishing aux dépens d’Orange S.A., la plus grande société de télécommunications française opérant dans le domaine de la téléphonie mobile fixe et comme fournisseur d’accès Internet, une des principales entreprises mondiale dans ce secteur.

On relève une augmentation considérable des attaques gérées depuis 2014, notamment cette année, où on compte 412 cas avérés jusqu’à aujourd’hui.

20160912150241

Continua a leggere

prima pagina di phishing

Il Banco Santander è un gruppo bancario di origine spagnola operante principalmente in Spagna ed in Sud America. Tale gruppo risulta tuttavia operante anche in altri paesi europei come Germania ed Italia dove è presente come Santander Consumer Bank (per essere precisi in Germania come Santander Consumer Bank AG).

Durante la notte, svolgendo l’analisi di un caso di phishing a danno di clienti D3Lab abbiamo individuato sul medesimo host, realizzati con le medesime modalità, altri due siti clone relativi a Banca Popolare di Spoleto (Phishing ai danni della Banca Popolare di Spoleto) ed a Santander Consumer Bank, ramo italiano del gruppo spagnolo.

prima pagina di phishing

si tratta in entrambi i casi di enti che in base ai rilievi D3Lab non erano ancora stati aggrediti dai criminali, almeno non in tempi recenti.

La modalità con cui l’attacco è strutturato è piuttosto insidiosa in quanto consente ai criminali, sfruttando il tag meta del codice html, di visualizzare nella barra degli indirizzi del browser un url

codice della pagina di phishing

posticcio, che può essere fatto coincidere con l’effettivo url del portale di internet banking dell’istituto al fine di potenziare l’inganno ai danno delle potenziali vittime che potrebbero non far caso alla dicitura data:text/html: che precede l’indicazione del corretto protocollo https o http nel caso di uso di frame da parte degli istituti.

Lo screenshot di apertura, che evidenzia con colori questa particolarità del testo visibile nella barra degli indirizzi, mostra come i criminali siano interessati ai dati di accesso all’account di internet banking: nella prima pagina fraudolenta infatti richiedono il codice utente, lo user name, ed i caratteri 1, 2, 5, 7 e 10 della password. Inviati tali dati a pagine php residenti in altro host compromesso gli uetenti visualizzano una seconda pagina fraudolenta in cui oltre al

seconda pagina fraudolenta

 

codice utente (già richiestogli) devo inserire i caratteri 3, 4, 6,8 e 9 della password, asteriscati nella prima richiesta, fornendo così ai criminali, con questo secondo inserimento di dati, tutti e 10 i caratteri della password.

Non ci è dato sapere se tali informazioni siano sufficienti ai criminali per disporre operazioni, ma anche non lo fossero il solo fatto che abbiano investito tempo e risorse nella realizzazione del kit lascerebbe ipotizzare che  grazie alle informazioni che potrebbero carpire dall’account utente sia per loro possibile avviare per passi successivi ulteriori azioni fraudolente, magari con contatti telefonici nei confronti delle vittime.

Si raccomanda agli utenti la massima attenzione.

Capita abbastanza spesso che l’azione di monitoraggio D3Lab dei casi di phishing rilevi files, quasi sempre in formato txt, contenenti dettagli sulla connessioni al clone da parte di chi è caduto nel phishing.
Detti files sono raggiungibili e scaricabili direttamente dal browser e presentano una ampia varietà di dati che vanno da un semplice elenco di indirizzi IP di chi ha visitato il clone di phishing (a volte con il dettaglio della geo-referenziazione) Continua a leggere

Le monitorage du phishing international a permis de relever aujourd’hui en début de matinée une tentative de fraude aux dépens d’une nouvelle institution, la Société Marseillaise de Crédit, l’une des principales banques du sud est de la France où sont ouvertes 175 filiales appartenant à la banque française Crédit du Nord.

20160810085510

Continua a leggere

pannello di gestione credenziali rubate

Già in passato avevamo parlato (Phishing con operatore per aggirare i token otp) di kit di phishing che permettevano all’operatore della struttura criminale di interagire con la vittima sfruttando il token otp in tempo reale.

Questa tipologia di kit, rilevata nell’autunno 2014, è nel tempo stata impiegata a danno dei clienti di Banca Intesa, Cariparma, Ubi Banca. Continua a leggere